Microsoft 365 网络连接概述
此文章适用于 Microsoft 365 企业版和 Office 365 企业版。
Microsoft 365 是一种分布式软件即服务 (SaaS) 云,它通过一组不同的微服务和应用程序提供生产力和协作方案。 Microsoft 365 的客户端组件(如 Outlook、Word 和 PowerPoint)在用户计算机上运行,并连接到在 Microsoft 数据中心运行的 Microsoft 365 的其他组件。 决定 Microsoft 365 最终用户体验质量的最重要因素是 Microsoft 365 客户端与 Microsoft 365 服务前端之间的网络可靠性和低延迟。
在本文中,你将了解 Microsoft 365 网络的目标,以及为什么 Microsoft 365 网络需要与常规 Internet 流量不同的优化方法。
Microsoft 365 网络目标
Microsoft 365 网络的最终目标是通过在客户端和最近的 Microsoft 365 终结点之间启用限制最少的访问来优化最终用户体验。 最终用户体验的质量与用户使用的应用程序的性能和响应能力直接相关。 例如,Microsoft Teams 依赖于低延迟,以便用户电话呼叫、会议和共享屏幕协作无故障,而 Outlook 依赖于强大的网络连接来提供应用服务器端索引和 AI 功能的即时搜索功能。
网络设计的主要目标是通过减少从客户端计算机 (RTT) 的往返时间来最大程度地减少延迟,Microsoft 全球网络是 Microsoft 的公共网络主干网络,该主干将 Microsoft 的所有数据中心与分布在世界各地的低延迟、高可用性云应用程序入口点互连。 有关 Microsoft 全球网络的详细信息,请参阅 Microsoft 构建其快速可靠的全球网络。
优化 Microsoft 365 网络性能并不复杂。 可以遵循以下几个关键原则来获得最佳性能:
- 识别 Microsoft 365 网络流量
- 允许从用户连接到 Microsoft 365 的每个位置流向 Internet 的 Microsoft 365 网络流量的本地分支出口
- 允许 Microsoft 365 流量绕过代理和数据包检查设备
有关 Microsoft 365 网络连接原则的详细信息,请参阅 Microsoft 365 网络连接原则。
传统网络体系结构和 SaaS
客户端/服务器工作负载的传统网络体系结构原则是围绕以下假设设计的:客户端和终结点之间的流量不会扩展到企业网络外围之外。 此外,在许多企业网络中,所有出站 Internet 连接都会遍历企业网络,并从中心位置传出。
在传统网络体系结构中,为了保持网络外围安全性,一般 Internet 流量的较高延迟是一个必要的权衡,Internet 流量的性能优化通常涉及升级或横向扩展网络出口点的设备。 但是,此方法无法满足 SaaS 服务(如 Microsoft 365)的最佳网络性能要求。
标识 Microsoft 365 网络流量
我们可以更轻松地识别 Microsoft 365 网络流量,并简化网络标识的管理。
- 新的网络终结点类别,用于区分高度关键的网络流量和不受 Internet 延迟影响的网络流量。 在最关键的“优化”类别中,只有几个 URL 和支持 IP 地址。
- 用于脚本使用或直接设备配置和 Microsoft 365 网络标识更改管理的 Web 服务。 可以从 Web 服务、RSS 格式或使用 Microsoft Flow 模板通过电子邮件获取更改。
- 与 Microsoft 合作伙伴Office 365网络合作伙伴计划,这些合作伙伴提供遵循 Microsoft 365 网络连接原则并具有简单配置的设备或服务。
保护 Microsoft 365 连接
传统的网络安全的目标是强化公司网络外围,防范入侵和恶意漏洞。 大多数企业网络使用代理服务器、防火墙、SSL 中断和检查、深度数据包检查和数据丢失防护系统等技术为 Internet 流量强制实施网络安全。 这些技术为普通的 Internet 请求提供了重要的风险缓解,但在应用到 Microsoft 365 终结点时,可显著降低性能、可扩展性和最终用户体验。
Microsoft 365 通过专为 Microsoft 365 功能和工作负载设计的内置安全和治理功能,帮助满足组织对内容安全性和数据使用合规性的需求。 有关 Microsoft 365 安全性和合规性的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 风险和合规性解决方案。 有关 Microsoft 在对 Microsoft 365 流量执行高级处理的高级网络解决方案的建议和支持位置的详细信息,请参阅对Office 365流量使用第三方网络设备或解决方案。
为什么 Microsoft 365 网络不同?
Microsoft 365 旨在使用终结点安全性和加密网络连接实现最佳性能,从而减少对外围安全强制实施的需求。 Microsoft 365 数据中心位于世界各地,该服务旨在使用各种方法将客户端连接到最佳可用的服务终结点。 由于用户数据和处理分布在许多 Microsoft 数据中心之间,因此客户端计算机无法连接到单个网络终结点。 事实上,Microsoft 365 租户中的数据和服务由 Microsoft 全球网络动态优化,以适应最终用户从中访问这些数据和服务的位置。
当 Microsoft 365 流量受到数据包检查和集中流出时,会创建某些常见的性能问题:
- 高延迟可能会导致视频和音频流性能不佳,以及数据检索、搜索、实时协作、日历忙/闲信息、产品内内容和其他服务的响应缓慢
- 来自中心位置的传出连接会破坏 Microsoft 365 全球网络的动态路由功能,从而增加延迟和往返时间
- 解密 SSL 保护的 Microsoft 365 网络流量并重新加密可能会导致协议错误并带来安全风险
通过允许客户端流量尽可能接近其地理位置来缩短 Microsoft 365 入口点的网络路径,可以提高 Microsoft 365 中的连接性能和最终用户体验。 它还有助于减少未来网络体系结构更改对 Microsoft 365 性能和可靠性的影响。 最佳连接模型是始终在用户位置提供网络出口,无论这是在企业网络还是远程位置(如家庭、酒店、咖啡店和机场)。 通用 Internet 流量和基于 WAN 的企业网络流量将单独路由,并且不使用本地直接出口模型。 下图所示为所述的本地直接出口模型。
针对 Microsoft 365 网络流量,与传统模型相比,本地出口体系结构具有以下优点:
- 通过优化线路长度,提供最佳 Microsoft 365 性能。 最终用户连接由 Microsoft 全球网络的 分布式服务 Front Door 基础结构动态路由到最近的 Microsoft 365 入口点,然后流量通过 Microsoft 的超低延迟高可用性光纤在内部路由到数据和服务终结点。
- 通过允许 Microsoft 365 流量的本地出口,绕过代理和流量检查设备,减少企业网络基础结构上的负载。
- 通过应用客户端终结点安全性和云安全功能来保护两端的连接,避免应用冗余网络安全技术。
注意
分布式服务 Front Door 基础结构是 Microsoft 全球网络具有高度可用且可缩放的网络边缘,具有地理上分散的位置。 它会终止最终用户连接,并在 Microsoft 全球网络中有效地路由它们。 有关 Microsoft 全球网络的详细信息,请参阅 Microsoft 构建其快速可靠的全球网络。
有关了解和应用 Microsoft 365 网络连接原则的详细信息,请参阅 Microsoft 365 网络连接原则。
总结
优化 Microsoft 365 网络性能实际上归结于消除不必要的障碍。 通过将 Microsoft 365 连接视为受信任的流量,可以防止数据包检查和代理带宽竞争导致延迟。 允许客户端计算机与Office 365终结点之间的本地连接,允许通过 Microsoft 全球网络动态路由流量。